週末にハッキングされたMagento 1オンラインストア2,000近く

週末に、世界中で2,000以上のMagentoストアが、これまでに文書化された最大のキャンペーンでハッキングされました。これらの攻撃は「メガカートスタイル」を連想させます。攻撃者は通常、数行のコードでオンラインショッピングカートを危険にさらし、ユーザーが入力したユーザーのカードを詳細にスワイプするために使用されます。その後、これらの詳細はコマンドに送信され、制御サーバーはダークウェブで販売したり詐欺的な手段で購入アイテムに使用されたりできる詐欺師に属します。

セキュリティ会社Sansecはメガカート攻撃を専門とし、週末の2000以上のMagento攻撃で確認されました。昨年6月にプラットフォームの所有者およびディストリビューターであるAdobeが発表した、サポートされなくなったMagentoバージョン1を使用するストアを標的とした攻撃に関する詳細なレポートをリリースしました。また、このレポートには、合計1904の店舗が、オンラインストアで使用されているチェックアウトページを使用してカードデータを盗んだ独自のキーロガーに感染していたと記載されています。

 侵害されたほとんどの店舗には、以前のセキュリティインシデントの履歴がありません。そのため、攻撃者はまったく新しい攻撃方法を使用して、店舗が使用するサーバーにアクセスする可能性があります。この新しいメソッドは、データへのアクセスを許可するだけでなく、チェックアウトページに新しいコードを書き込みます。未知のエクスプロイトが使用された可能性が高く、アンダーグラウンドハッカーフォーラムから購入された可能性があります。

Sansec氏は次のように述べています。「正確なベクターについてはまだ調査中ですが、このキャンペーンは数週間前に売りに出された最近のMagento 1 0day(エクスプロイト)に関連している可能性があります。ユーザーz3r0dayがハッキングフォーラムで、Magento 1の「リモートコード実行」エクスプロイトメソッド(手順のビデオを含む)を5000ドルで販売することを発表しました。申し立てによると、以前のMagento管理者アカウントは必要ありません。売り手z3r0dayは、Magento 1がサポート終了となったため、このバグを修正するための公式のパッチはアドビから提供されないことを強調しました。これにより、レガシープラットフォームを使用しているストアの所有者に、このエクスプロイトがさらに損害を与えます。取り引きを甘くするために、z3r0dayは危険なエクスプロイトの10コピーのみを販売することを約束しました。」

攻撃者はIP 92.242.62.210(米国)と91.121.94.121(OVH、FR)を使用し、Magento adminおよびMagento Connect機能との相互作用により、マルウェアmysql.phpを含むさまざまなファイルをダウンロードおよびインストールすることができました。この悪意のあるファイルは、Magentoが使用するprototype.jsファイルに追加されると自動的に削除されます。

研究者たちは、週末にファイルをインストールする試みが何度も行われ、おそらく改良された1つのスキマーをインストールしようとしたと指摘しました。このスキマーは、prototype.jsファイルにインストールすることもでき、チェックアウトページが参照されたときに実行されました。この攻撃は、クレジットカード情報を盗んだり、後で支払いをリダイレクトしたりするために使用されました。研究者たちは、支払いがどこに引き渡されているのか追跡できました。彼らは、キーロガーが保存されているhxxps://imags.pw/502.jspの同じモスクワホストサイトに発見しました。

正式には、Magento 1は2020年からサポート終了のラベルが付けられていました。そのため、アドビが提供するすべてのサポート終了製品に対するアップデートは受信されませんでした。ただし、これらの顧客には、ケースとバージョン2に移行することが通知されました。その時点で、推定27万を超える店舗がバージョン1を実行していました。2019年の終わりには、この数は200,000〜240,000でした。この数字は、Adobeが正式にサポート終了を発表した6月末の時点で約11万人でした。一方、会社はバージョン2への移行が遅いため、日付を2回プッシュしました。攻撃に対して脆弱であった数十万のストアのうち、トラフィック量が少なくなっています。つまり、ハッカーの時間に値するものではありません。

エンドユーザーまたは顧客がメガカート攻撃を阻止することはすべてであるので、2020年に、インドネシアでメイジカード攻撃に関連して最初に観察された逮捕が行われたときに、最初の予防的アドバイスが行われました。

「JSスニファー[magecartスタイルの攻撃]による大きな経済的損失を回避するために、オンラインユーザーは、オンライン支払い用に別のプリペイドカードを用意するか、カードに使用限度額を設定するか、オンラインショッピングに使用するか、別の方法で使用することをお勧めしますオンライン購入専用の銀行口座。一方、オンライン販売者は、ソフトウェアを最新の状態に保ち、ウェブサイトのサイバーセキュリティ評価を定期的に実施する必要があります。」

MasterCardとVisaは、バージョン2への移行が遅いため、アラートを発行しました。Visaは、オンラインショップの所有者がバージョン1に移行しなかった場合、PCI DSSに準拠していないことが判明する可能性があることを警告しました。金融機関。彼らが顧客に与える損害に対して直接責任を負う可能性があるので、それは非常に破壊的なケースです。

一方、Mastercardのアラートの影響は、Webスキミング事件全体の77%がPCI DSS要件6(店舗の所有者が実行する必要があるという規則)に準拠していない会社のものであるとは言っていませんでした-日付システム。この規格に準拠していないと、オンラインストアの所有者にとって他にもいくつかの不利益が生じます。これには、さまざまな業種のビジネスからの5,000米ドルから100,000米ドルの範囲の月額ペナルティが含まれます。また、違反に関する違反があり、違反とみなされた場合、次のペナルティが解消されます。

  • 情報が危険にさらされたカード所有者1人あたり50ドルから90ドルの罰金
  • 会社と支払い処理業者の関係の終了、
  • 顧客は企業でシビルスイートを平準化できます

したがって、まだバージョン1を使用している場合は、使用されている未知のエクスプロイトにパッチが適用されないため、Magentoバージョン2に移行する必要があります。